Une éducation et une formation ineptes en matière de cybersécurité alimentent le déficit de compétences
7 min read
La transformation numérique crée une multitude d’emplois STEM plus rapidement qu’ils ne peuvent être pourvus par des professionnels qualifiés. La cybersécurité a été affectée de manière disproportionnée par la pénurie de main-d’œuvre, avec environ 3,5 millions de postes ouverts dans le monde, selon Cybersecurity Ventures.
Parmi les stratégies proposées pour lutter contre ce problème, citons l’embauche de personnes issues de milieux divers et non traditionnels et la modification du pipeline de recrutement pour atteindre les étudiants de niveau secondaire ou plus jeunes. Les efforts pour combler l’écart de compétences devraient également s’étendre pour intégrer des mises à jour des pratiques d’éducation et de formation en matière de cybersécurité, a déclaré Sam Grubb, auteur du prochain livre, Comment fonctionne vraiment la cybersécurité : un guide pratique pour les débutants, publié par No Starch Press.
Désormais consultant en cybersécurité chez Edafio Technology Partners, Grubb a un point de vue unique sur les problèmes de main-d’œuvre de l’industrie. Après avoir passé du temps comme historien militaire, Grubb a changé de carrière pour devenir instructeur en cybersécurité pour la Garde nationale, puis enseignant au secondaire. C’est là qu’il a réalisé la nécessité d’un livre comme Comment fonctionne réellement la cybersécurité rendre les connaissances pratiques accessibles aux étudiants et aux nouveaux arrivants.
Ici, Grubb explique comment moderniser l’éducation et la formation en matière de cybersécurité afin que les individus et les organisations soient mieux placés pour naviguer dans le paysage complexe des menaces d’aujourd’hui.
Note de l’éditeur: Cette transcription a été modifiée pour plus de longueur et de clarté.
Cliquez ici pour en savoir plusà propos de
Comment la cybersécurité
Fonctionne vraiment par Sam Grubb.
Pourquoi était-il important pour vous d’écrire ce livre pour les débutants en cybersécurité ?
Sam Grubb : Quand j’étais professeur de lycée, j’enseignais cours de cybersécurité. La première chose que j’ai essayé de faire a été de trouver un manuel pour les vrais débutants – qu’ils soient adolescents ou adultes essayant d’entrer dans l’industrie. Il y avait plein de textes sur la confidentialité sur Internet et une navigation sécurisée, mais en ce qui concerne les connaissances en matière de cybersécurité à utiliser dans la vie quotidienne et sur le terrain, il y avait peu d’options qui n’étaient pas super techniques.
Les attaques de cybersécurité affectent tout le monde. Surtout depuis 2016, quand on avait répandu campagnes de désinformation et attaques électorales, les risques sont devenus plus omniprésents. Ce ne sont pas seulement les grandes organisations ou le gouvernement à risque, ce sont les individus. Les personnes normales qui n’ont peut-être pas d’emploi dans la technologie doivent comprendre ces problèmes afin de pouvoir être en sécurité et faire des choix éclairés concernant les produits, les informations et les plateformes.
Vous avez une maîtrise en histoire militaire, ce qui est évident dans la façon dont vous avez couvert ARPA et APT dans le livre. En quoi ce contexte historique est-il utile pour comprendre le fonctionnement de la cybersécurité?
Grubb : La cybersécurité est comme un jeu du chat et de la souris. Un attaquant propose un exploit ou une attaque et un expert en sécurité propose une atténuation. Ensuite, l’attaquant essaie de contrer cette réponse. Il va et vient dans un cycle sans fin.
Tout dans la cybersécurité est construit sur ce qui l’a précédé. Le contexte historique nous aide à comprendre comment fonctionne la cybersécurité aujourd’hui, mais aussi d’où elle vient. Il permet d’expliquer l’évolution des attaques et les problèmes de sécurité d’aujourd’hui, qui ne se produisent pas dans le vide.
En tant qu’ancien enseignant, voyez-vous des problèmes dans la façon dont la cybersécurité est enseignée qui pourraient contribuer à la pénurie de talents dans l’industrie ?
Grubb: L’un des problèmes concerne ce que nous estimons approprié pour enseigner. Un programme typique de licence ou de maîtrise en cybersécurité se concentre davantage sur les sujets académiques, y compris les architectures, les principes et les processus de niche. Les étudiants peuvent également étudier des matières avancées telles que l’IA, l’apprentissage automatique et la médecine légale. Mais vous ne faites rien de tout cela lorsque vous obtenez un emploi en tant qu’analyste SOC – vous gérez des pare-feu. C’est pourquoi il devrait y avoir plus de sujets pratiques, tels que la gestion des pare-feu et comment configurer la journalisation, reconnaître les menaces et utiliser les systèmes Linux.
Je suis également un défenseur de l’enseignement de compétences non techniques, y compris la pensée critique, la rédaction de rapports et la communication – qui ne se trouvent généralement pas dans les programmes universitaires et il n’y a pas assez de personnes dans les domaines de la sécurité qui partagent leur expertise en tant qu’enseignants.
Avez-vous acquis de nouvelles perspectives en écrivant ou en recherchant Comment fonctionne réellement la cybersécurité?
Grubb: Absolument. J’ai acquis une nouvelle perspective sur l’importance de démocratiser la sécurité en écrivant ce livre. Nous devons être en mesure de rendre les sujets de sécurité complexes compréhensibles pour l’utilisateur quotidien. Par exemple, il est facile de dire que tous les comptes doivent avoir une authentification multifacteur (MFA). Mais c’est une autre chose de se demander ce qui peut être fait pour s’assurer que tout le monde comprend ce qu’est l’AMF et a l’accès et la capacité de le mettre en œuvre. Tout le monde n’a pas de smartphone. La mise en œuvre de l’authentification multifacteur sur tous les comptes via un code de message texte ou à l’aide d’une application signifie que les utilisateurs sont exclus. Il faut réfléchir à la manière de développer des solutions accessibles à tous et en dehors des modèles de profit traditionnels.
Quel est le conseil le plus important pour les gens qui envisagent une carrière dans ce domaine?
Grubb : Il y a tellement de chemins dans la cyber-sécurité. Si vous n’êtes pas fan des tests de stylet et du piratage, ne pensez pas que vous n’appartenez pas à ce domaine car ce n’est qu’une petite partie. Il existe d’autres domaines, notamment l’équipe rouge, l’équipe bleue, la sécurité cloud, la sécurité locale et même l’administration système et l’administration réseau à expérimenter. Plus vous pourrez expérimenter ces chemins, mieux vous serez globalement – vous ne serez jamais dans une position où cette connaissance n’est pas pertinente d’une manière ou d’une autre.
Quelles sont les plus grandes craintes en matière de sécurité que vous entendez de la part des organisations et sont-elles proportionnelles aux menaces en question ?
Grubb : Ce que nous voyons tous les jours dans le travail de conseil, c’est que quelqu’un entre ses informations d’identification dans un e-mail de phishing, par opposition aux attaques à la une comme SolarWinds ou les vulnérabilités Microsoft Exchange. Cette menace causée par l’utilisateur est ce sur quoi nous devrions nous concentrer. La prévention consiste à s’assurer que les utilisateurs comprennent la sécurité et savent ce qu’ils doivent faire pour assurer leur sécurité. Une grande partie de la conversation porte sur la mise en place de tous les outils pour se protéger contre les attaques courantes, mais vous avez besoin d’un mélange de technologie et de formation des utilisateurs.
Que diriez-vous aux organisations qui sont préoccupées par les menaces avancées et sophistiquées et négligent les bases de la sécurité ?
Grubb: Pour moi, la conversation commence toujours par: «La cybersécurité est ennuyeuse et si ce n’est pas ennuyeux, c’est que vous le faites mal. Par exemple, les membres de l’équipe rouge effectuent des tests de stylet, découvrent les exploits et publient différentes vulnérabilités. Les équipes bleues recherchent des vulnérabilités, mais elles se concentrent principalement sur la gestion des correctifs, la formation à la sensibilisation à la sécurité et la gestion des risques. En comparaison, cela peut sembler ennuyeux, mais l’équipe bleue sécurise votre infrastructure, ce qui est essentiel. De nombreuses organisations sont trop concentrées sur l’équipe rouge, elles ne trouvent donc que ce qui ne fonctionne pas et non comment le réparer.
Il y a un nouveau concept dans infosec appelé équipe violette, qui implique une combinaison de responsabilités d’équipe rouge et d’équipe bleue. L’équipe Purple existe pour découvrir ce qui est cassé et doit se produire pour le réparer au-delà de simplement mettre un autre contrôle de sécurité devant lui. Je pense que nous allons voir plus de cette idée appliquée à l’avenir.
Dans un extrait du chapitre 6 disponible sur SearchSecurity, vous avez parlé des attaques de réseau et de la manière de les empêcher. Quel est l’un des plus grands défis de sécurité réseau auxquels les entreprises sont confrontées aujourd’hui ?
Grubb: Shadow IT est un problème important pour la sécurité du réseau. Il se déroule à la fois dans les réseaux internes et dans l’infrastructure cloud étendue. L’ajout de nouveaux services, appareils et connexions peut entraîner des infrastructures étendues et complexes. Il peut être difficile de savoir exactement tout dans l’environnement et de s’assurer que les choses sont corrigées et de suivre les modifications – comme l’ajout d’un périphérique – dans une liste d’inventaire.
